[AI요약] 중국 정부가 지원하고 있는 것으로 알려진 중국 해킹 네트워크 볼트 타이푼에 대한 논란이 거세지고 있다. 그동안 해킹 집단은 미국 정부 기관 및 단체의 인프라를 표적으로 삶았지만, 최근 침투는 미국의 주요 동맹국인 캐나다, 호주, 뉴질랜드, 영국 등에 영향을 미쳤을 것으로 관측되면서 우려의 목소리가 커지고 있다.
중국 해킹집단 볼트타이푼이 특이한 표적 선택과 행동 패턴으로 각국의 사이버 공격을 위한 사전 배치를 시도하고 있다.
미국, 유럽 등 각국의 위협이 되고 있는 중국 해킹 네트워크 ‘볼트 타이푼’(Volt Typhoon)에 대해 더가디언 등 외신이 14일(현지시간) 보도했다.
최근 미국과 중국의 관계가 특히 중국이 대만 합병 위협을 가하고 있는 지난 몇 년간 급락하면서 양국간 적대 행위나 전면적 충돌 가능성에 대한 우려가 커지고 있다.
실제로 볼트타이푼으로 알려진 중국해킹 네트워크가 5년 동안 미국의 주요 인프라 내부에 휴면 상태로 있었다는 최근 폭로로 인해 상당한 우려의 목소리가 나오고 있다.
해킹 집단은 미국의 기술 및 보안 약점을 이용한 것으로 알려졌다. 이에 미국과 연합군 정보기관은 해킹 집단이 비밀을 훔치기보다는 미래의 방해 행위에 대비해 사전 배치하는 데 초점을 맞추고 있다고 관측하고 있다.
서방의 정보 당국자들은 볼트타이푼은 수천 대의 인터넷 연결 장치를 손상시킨, 중국 정부의 지원을 받는 사이버 작전으로 보고 있다. 중국 해킹집단은 해군 항구, 인터넷 서비스 제공업체, 통신 서비스 및 유틸리티를 포함한 서부의 주요 인프라에 침투하는데 목적을 두고 있다는 지적이다.
현재 볼트타이푼은 뱅가드판다(Vanguard Panda), 브론즈실루엣(Brronze Silhouette), 데브-0391(Dev-0391), 인시디어스토러스(Insidious Taurus), UNC3236 등으로도 알려져 있다.
크리스토퍼 레이 FBI 국장은 지난주 미국 위원회 청문회에서 “볼트타이푼은 우리 세대의 결정적인 위협”이라고 강조했다. 네덜란드와 필리핀도 최근 중국이 지원하는 해커가 국가 네트워크와 인프라를 표적으로 삼고 있음을 공개적으로 확인한 상태다.
볼트타이푼에 대한 FBI 국장의 발언은 최근 미국 당국이 수백 대의 손상된 디바이스로 구성된 봇 네트워크를 해체했으며, 이를 해킹 네트워크에 소행으로 지목한 이후 나온 것이다.
볼트파이푼은 소형 및 수명이 다한 라우터, 방화벽 및 가상 사설망(VPN)의 취약점을 악용하고 종종 관리자 자격 증명 및 훔친 비밀번호를 사용하거나 정기적인 보안 업데이트가 없는 구식 기술을 활용하는 방식으로 작동한다.
주요 약점은 미국 디지털 인프라에서 확인됐는데, 이는 맬웨어가 새파일을 도입하는 대신 대상 운영 체제의 기존 리소스만 사용하는 LotL(Living off the Land) 공격만 하는 것으로 나타났다. LotL 공격은 해커가 시스템에 기본적으로 설치되어 있는 합법적이고 정상적인 소프트웨어, 기능 등을 이용해 악의적인 작업을 수행하는 공격이다.
지난주 CISA, 국가안보국, FBI가 발표한 보고서에 따르면 볼트타이푼 해커들은 지난 5년 동안 이 액세스 권한을 유지해 온 것으로 파악됐다. 그러나 그동안은 미국 인프라만을 표적으로 삼았지만, 이번 침투는 미국의 ‘파이브 아이즈’ 라고 불리는 동맹국인 캐나다, 호주, 뉴질랜드, 영국에 영향을 미쳤을 가능성이 높은 것으로 관측되고 있다.
특히 미국 당국은 볼트타이푼의 특이한 표적 선택과 행동 패턴이 전통적인 사이버 간첩 활동이나 정보 수집 작전과 일치하지 않는다고 밝혔다.
마이크로소프트의 합동 보고서에 따르면 해당 중국해커집단은 2021년 중반부터 활동해 왔으며, 괌 및 기타 지역의 미국 인프라를 대상으로 향후 위기 발생시 미국과 아시아 지역 간의 중요한 통신 인프라를 방해할 가능성이 있는 기능 개발을 진행하고 있다는 사실을 발견했다.
중국이 후원하는 해커 집단은 중대한 위기나 미국과의 충돌이 발생할 경우 미국의 중요 인프라에 대한 파괴적인 사이버 공격을 위해 IT 네트워크에 사전 배치를 시도하고 있다는 것이다.
중국은 중국 국가와 연계되거나 지원되는 사이버 공격 및 간첩 행위에 대한 모든 비난을 전면 부인하고 있다. 그러나 베이징의 사이버 간첩 활동에 대한 증거는 미국에서 20년 넘게 축적돼 왔다.
해킹 공격의 광범위한 성격으로 인해 백악관과 여러 통신 및 클라우드 컴퓨팅 회사를 포함한 민간 기술 업계 간의 일련의 회의가 이어졌으며, 미국 정부는 활동 추적에 대한 지원을 요청한 상태다.
현재 해체된 봇넷의 표적이 된 기관과 자산은 지난 1월 CISA로부터 영향을 받은 디바이스와 제품의 연결을 끊으라는 명령을 받았으며, 이를 위해 집중적이고 어려운 치료 프로세스를 시작한 것으로 알려졌다.
젠 이스터리 CISA 국장은 “CISA팀은 항공, 수자원, 에너지 및 교통을 포함한 여러 중요 인프라 부문에서 중국의 침입을 발견했으며, 이후 즉시 이를 차단했다”고 최근 미국학원 위원회 청문회를 통해 밝혔다.
